Inicio de sesión con reinicio automático de Winlogon (ARSO)

Durante una actualización de Windows, hay procesos específicos del usuario que deben producirse para que se complete la actualización. Estos procesos requieren que el usuario inicie sesión en su dispositivo. La primera vez que se inicie sesión tras la inicialización de una actualización, los usuarios deben esperar hasta que se completen estos procesos específicos del usuario para poder empezar a utilizar su dispositivo.

¿Cómo funciona?

Cuando Windows Update inicia un reinicio automático, ARSO extrae las credenciales derivadas del usuario iniciadas actualmente, las conserva en el disco y configura el inicio de sesión automático para el usuario. Windows Update se ejecuta como sistema con privilegios de TCB e inicia la llamada a procedimiento remoto.

Después del reinicio final del Windows Update, el usuario iniciará sesión automáticamente a través del mecanismo de inicio de sesión automático y la sesión del usuario se rehidrata con los secretos persistentes. Además, el dispositivo está bloqueado para proteger la sesión del usuario. El bloqueo se inicia mediante Winlogon, mientras que la administración de credenciales la realiza la autoridad de seguridad local (LSA). Tras una configuración y un inicio de sesión de ARSO correctos, las credenciales guardadas se eliminan de inmediato del disco.

Mediante el inicio de sesión y el bloqueo automáticos del usuario en la consola, Windows Update puede completar los procesos específicos del usuario antes de que el usuario vuelva al dispositivo. De este modo, el usuario puede empezar a usar su dispositivo de inmediato.

ARSO trata de forma diferente los dispositivos no administrados y los administrados. En el caso de los primeros, se usa el cifrado de dispositivos, pero no es necesario para que el usuario obtenga el inicio de sesión con reinicio automático. En cuanto a los dispositivos administrados, se requieren TPM 2.0, SecureBoot y BitLocker para la configuración del inicio de sesión con reinicio automático (ARSO). Los administradores de TI pueden invalidar este requisito a través de la característica directiva de grupo. ARSO para dispositivos administrados actualmente solo está disponible para los dispositivos que se unen a Microsoft Entra ID.

Windows Update shutdown -g -t 0 Reinicios iniciados por el usuario API con las marcas SHUTDOWN_ARSO o EWX_ARSO
Dispositivos administrados: sí

Dispositivos no administrados: sí

Dispositivos administrados: sí

Dispositivos no administrados: sí

Dispositivos administrados: no

Dispositivos no administrados: sí

Dispositivos administrados: sí

Dispositivos no administrados: sí

Nota

Después de un reinicio inducido de Windows Update, se inicia automáticamente la sesión del último usuario interactivo y se bloquea la sesión. Esto permite que las aplicaciones de la pantalla de bloqueo de un usuario se sigan ejecutando a pesar del reinicio de Windows Update.

Settings Page

Directiva 1

Inicio de sesión y bloqueo automáticos del último usuario interactivo tras un reinicio

En Windows 10, ARSO está deshabilitado en las SKU de servidor y no participa en las SKU de cliente.

Ubicación de directiva de grupo: Configuración del equipo > Plantillas administrativas > Componentes de Windows > Opciones de inicio de sesión de Windows

Directiva de Intune:

  • Plataforma: Windows 10 y versiones posteriores
  • Tipo de perfil: Plantillas administrativas
  • Ruta de acceso: \Componentes de Windows\Opciones de inicio de sesión de Windows

Compatible con: al menos Windows 10, versión 1903

Descripción:

Este valor de la directiva controla si un dispositivo iniciará sesión y bloqueará automáticamente al último usuario interactivo después de que el sistema se reinicie o después de que se haya apagado y se produzca un arranque en frío.

Solo ocurre si el último usuario interactivo no cerró la sesión antes del reinicio o apagado.

Si el dispositivo está unido a Active Directory o a Microsoft Entra ID, esta directiva solo se aplica a los reinicios de Windows Update. De lo contrario, se aplica tanto a los reinicios de Windows Update como a los reinicios y apagados iniciados por el usuario.

Si no configura este valor de la directiva, está habilitada de forma predeterminada. Cuando la directiva está habilitada, el usuario inicia sesión automáticamente. Además, después de arrancar el dispositivo, la sesión se bloquea con todas las aplicaciones de pantalla de bloqueo configuradas para ese usuario.

Después de habilitar esta directiva, puede configurar sus valores a través de la directiva ConfigAutomaticRestartSignOn. Establece el modo para iniciar sesión automáticamente y bloquea el último usuario interactivo después de un reinicio o arranque en frío.

Si deshabilita la configuración de esta directiva, el dispositivo no configura el inicio de sesión automático. Las aplicaciones de la pantalla de bloqueo del usuario no se reinician después de que se reinicia el sistema.

Editor del Registro:

Nombre del valor Tipo Datos
DisableAutomaticRestartSignOn DWORD 0 (Habilitar ARSO)
1 (Deshabilitar ARSO)

Ubicación del Registro de directivas: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

Tipo: DWORD

Screenshot of the Sign-in and lock last interactive user automatically after a restart dialog box.

Directiva 2

Configuración del modo de iniciar sesión y bloquear automáticamente el último usuario interactivo después de un reinicio o un arranque en frío

Ubicación de directiva de grupo: Configuración del equipo > Plantillas administrativas > Componentes de Windows > Opciones de inicio de sesión de Windows

Directiva de Intune:

  • Plataforma: Windows 10 y versiones posteriores
  • Tipo de perfil: Plantillas administrativas
  • Ruta de acceso: \Componentes de Windows\Opciones de inicio de sesión de Windows

Compatible con: al menos Windows 10, versión 1903

Descripción:

Este valor de la directiva controla la configuración bajo la que se produce un reinicio automático y un inicio de sesión y bloqueo después de un reinicio o arranque en frío. Si eligió "Deshabilitado" en la directiva "Iniciar sesión y bloquear automáticamente el último usuario interactivo después de un reinicio", no se producirá el inicio de sesión automático y no es preciso configurar esta directiva.

Si habilita esta configuración de directiva, puede elegir una de las dos siguientes opciones:

  1. "Habilitado si BitLocker está activado y no suspendido" especifica que el inicio de sesión y bloqueo automáticos solo se producirán si BitLocker está activo y no suspendido durante el reinicio o apagado. Si BitLocker no está activado o está suspendido durante una actualización, se puede acceder a los datos personales que se encuentran en el disco duro del dispositivo en este momento. La suspensión de BitLocker elimina temporalmente la protección de los componentes del sistema y los datos, pero puede ser necesario en determinadas circunstancias para actualizar correctamente los componentes críticos para el arranque.
    • BitLocker se suspende durante las actualizaciones si:
      • El dispositivo no tiene TPM 2.0 y PCR7.
      • El dispositivo no usa un protector solo de TPM.
  2. "Siempre habilitado" especifica que se producirá el inicio de sesión automático aunque BitLocker esté desactivado o suspendido durante el reinicio o apagado. Cuando BitLocker no está habilitado, se puede acceder a los datos personales que se encuentran en el disco duro. El reinicio y el inicio de sesión automático solo se deben ejecutar si se está seguro de que el dispositivo configurado se encuentra en una ubicación física segura.

Si deshabilita o no configura este valor, el inicio de sesión automático tendrá como valor predeterminado el comportamiento "Habilitado si BitLocker está activado y no suspendido".

Editor del Registro

Nombre del valor Tipo Datos
AutomaticRestartSignOnConfig DWORD 0 (Habilitar ARSO si es seguro)
1 (Habilitar ARSO siempre)

Ubicación del Registro de directivas: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

Tipo: DWORD

Screenshot of the Configure the mode of automatically signing in and locking last interactive user after a restart or cold boot dialog box.

Solución de problemas

Cuando Winlogon realiza un inicio de sesión, el seguimiento del estado de Winlogon se almacena en el registro de eventos de Winlogon. Compruebe los siguientes eventos de Winlogon en el Visor de eventos, en Registros de aplicaciones y servicios > Microsoft > Windows > Winlogon > Operativos:

Id. de evento Descripción del evento Origen del evento
1 Authentication started. Winlogon
2 Authentication stopped. Result 0 Winlogon

El estado de un intento de configuración de ARSO se almacena en el registro de eventos de LSA. Compruebe los siguientes eventos de LSA en el Visor de eventos, en Registros de aplicaciones y servicios > Microsoft > Windows > LSA > Operativos:

Id. de evento Descripción del evento Origen del evento
320 Automatic restart sign on successfully configured the autologon credentials for: Account name: <accountName> Account Domain: <accountDomain> LSA
321 Automatic restart sign on successfully deleted autologon credentials from LSA memory LSA
322 Automatic restart sign on failed to configure the autologon credentials with error: <errorText> LSA

Motivos por los que puede no realizarse el inicio de sesión automático

Hay varios casos en los que no se puede lograr un inicio de sesión automático del usuario. En esta sección se capturarán los escenarios conocidos en los que se puede producir esto.

El usuario debe cambiar la contraseña en el siguiente inicio de sesión

El inicio de sesión de un usuario puede entrar en un estado bloqueado cuando se requiera un cambio de contraseña en el siguiente inicio de sesión. En la mayoría de los casos, este problema se puede detectar antes del reinicio, pero no en todos (por ejemplo, la expiración de la contraseña puede llegar entre el apagado y el siguiente inicio de sesión).

Cuenta de usuario deshabilitada

Se puede mantener una sesión de usuario existente, aunque esté deshabilitada. El reinicio de una cuenta que está deshabilitada se puede detectar localmente en la mayoría de los casos de antemano, dependiendo de la directiva de grupo no puede ser para las cuentas de dominio (algunos escenarios de inicio de sesión almacenados en la caché del dominio funcionan aunque la cuenta esté deshabilitada en DC).

Horas de inicio de sesión y controles parentales

Las horas de inicio de sesión y los controles parentales pueden prohibir la creación de una nueva sesión de usuario. Si se produjera un reinicio durante esta ventana, no se permitiría al usuario iniciar sesión. La directiva también provoca un bloqueo o cierre de sesión como una acción de cumplimiento. Se registra el estado de un intento de configuración de inicio de sesión automático.

Detalles de seguridad

En aquellos entornos en los que preocupa la seguridad física del dispositivo (por ejemplo, en los que pueden robarlo), Microsoft no recomienda usar ARSO. ARSO se basa en la integridad del firmware de la plataforma y en el TPM, un atacante con acceso físico quizás pueda ponerlas en peligro y, por tanto, acceder a las credenciales almacenadas en el disco con ARSO habilitado.

En entornos empresariales en los que preocupa la seguridad de los datos de usuario protegidos por la API de protección de datos (DPAPI), Microsoft no recomienda usar ARSO. ARSO afecta negativamente a los datos de usuario protegidos por DPAPI, ya que el descifrado no requiere credenciales de usuario. Antes de usar ARSO, las empresas deberían probar el impacto en la seguridad de los datos de usuario protegidos por DPAPI.

Credenciales almacenadas

Hash de contraseña Clave de credencial Vale de concesión de vales Token de actualización principal
Cuenta local: sí Cuenta local: sí Cuenta local: no Cuenta local: no
Cuenta Microsoft: sí Cuenta Microsoft: sí Cuenta Microsoft: no Cuenta Microsoft: no
Cuenta asociada a Microsoft Entra: Sí Cuenta asociada a Microsoft Entra: Sí Cuenta asociada a Microsoft Entra: Sí (si es híbrida) Cuenta asociada a Microsoft Entra: Sí
Cuenta replicada en un dominio: sí Cuenta replicada en un dominio: sí Cuenta replicada en un dominio: sí Cuenta replicada en un dominio: sí (si es híbrida)

Interacción de Credential Guard

ARSO se admite con Credential Guard habilitado en dispositivos a partir de la versión 2004 de Windows 10.

Recursos adicionales

El inicio de sesión automático es una característica que ha estado presente en varias versiones de Windows. Se trata de una característica documentada de Windows que incluso tiene herramientas como Autologon para Windows http:/technet.microsoft.com/sysinternals/bb963905.aspx. Permite que un único usuario del dispositivo inicie sesión automáticamente sin escribir sus credenciales. Las credenciales se configuran y almacenan en el Registro como un secreto de LSA cifrado. Esto podría ser un problema en muchos casos secundarios en los que el bloqueo de cuentas puede producirse entre el momento de irse a dormir y el de despertar, sobre todo si la ventana de mantenimiento suele estar durante este tiempo.